Dosta nas nažalost ne brine dovoljno za pravilnu zaštitu osobnih podataka korisnika dok ne bude kasno, a tada nas čekaju goleme kazne. Tek kad dođe do povreda i gubitka podataka sine nam da smo možda ipak trebali uložiti u bolje mjere zaštite.
Kad dođe do povrede podataka (u to spada i hakiranje i sl.), napadači mogu javno objaviti osobne podatke vaših korisnika, što može imati ozbiljne posljedice. Naprimjer, mogu ukrasti podatke s kreditnih kartica i tako ukrasti identitet osoba. Još gore, takvi se incidenti prečesto događaju. Tako su hakirane bile velike banke (JP Morgan Chase u 2015.), društvene mreže (MySpace), stranice za upoznavanje (Ashley Madison), stranice za dijeljenje videozapisa (Dailymotion) i tako dalje. Čak ni zvijezde nisu imune na napade – prisjetimo se samo napada na iCloud 2014. g., koji je prouzročio velike glavobolje glumicama poput Kate Upton, Jennifer Lawrence i Kaley Cuoco, među ostalima.
Napadima ne podliježu samo veliki igrači. I male tvrtke mogu pretrpjeti povrede podataka, naprimjer ako razočarani i ljuti zaposlenik odluči ukrasti sve korisničke podatke. Pod GDPR-om se i to smatra povredom podataka.
No nije sve izgubljeno. Budući da tako često dolazi do povreda, u GDPR je ugrađeno nekoliko preventivnih mjera koje tvrtkama mogu olakšati situaciju prije, ali i kad do povreda dođe.
Obavještavanje: Što morate reći?
Tvrtke su obavezne prijaviti riskantne povrede podataka nadzornom tijelu u roku od 72 sata (svaka država članica imat će jedno glavno nadzorno tijelo koje će se baviti primjenom GDPR-a). Nadzorna tijela ih potom mogu kazniti, ali i pomoći u rješavanju nastale situacije.
Zanimljiva obaveza koju GDPR propisuje jest izravno obraćanje oštećenim osobama ako dođe do visokorizične povrede. Osobe morate obavijestiti što je prije moguće kako bi se mogle brzo zaštititi od mogućih posljedica povrede (promjenom lozinki ili kreditnih kartica, npr.).
Pripazite na propise, jer kazne su velike.
Korisnici nisu nebitni
Postoji nekoliko važnih napomena jer je propis, kako je prolazio kroz ruke raznih aktera, pomalo ublažen. Naime, ako je broj korisnika toliko velik da bi kontaktiranje svakog ponaosob predstavljalo ogroman teret (vremenski ili financijski), moguće je poslužiti se ekvivalentnom mjerom obavještavanja, kao što su priopćenja za javnost, izjave u medijima i objave na samoj web-stranici prilikom prijave. Uglavnom, i dalje morate uložiti razuman trud da obavijestite korisnike ako nešto pođe po zlu.
Obavijesti moraju biti sročene jednostavno i lako razumljivo, bez uljepšavanja činjenica bez obzira na to koliko one neugodne bile. Dužni ste u obavijesti pokriti i radnje koje provodite da biste smanjili neželjene posljedice – u suprotnom, nadzorna tijela mogu vas kazniti.
Međutim, postoje izuzeća. Obvezu obavještavanja tvrtke i organizacije imaju samo u slučaju visokorizične povrede. Vjerojatno se radi o svjesnoj odluci zakonodavca da ne stvaraju previše administrativnih troškova već pogođenim tvrtkama.
Dakako, ti podaci moraju biti od trivijalne važnosti i njihov gubitak za korisnike ne smije predstavljati nikakav značajan rizik. Povrede koje bi bile rizične svakako zahtijevaju obavještavanje, no GDPR s druge strane uopće ne navodi kriterije po kojima bi se to određivalo. Čini se da je na tvrtkama da same odrede težinu povrede, no neke u tome možda neće biti dovoljno vješte (a ostale bi mogle namjerno sakrivati ključne podatke).
Obvezu obavještavanja također nemate ako su podaci enkriptirani ili pseudonimizirani, jer se oni smatraju sigurnima i neiskoristivima čak i ako do povreda dođe.
Unatoč svemu rečenom, savjetujemo vam da budete na oprezu i prijavite gotovo sve povrede kako ne biste strahovali od kazni koje mogu doseći i 20 milijuna eura, a u slučaju većih tvrtki i više zbog alternativne mogućnosti kazne od 4 % godišnjeg prometa na svjetskoj razini. Vjerujemo da će svi radije obavijestiti korisnike nego otići u stečaj.
Zaključak
Jasno je također da GDPR ne mijenja sigurnosne rizike koji postoje, no vjerojatno će smanjiti šansu da se nešto dogodi zbog propisivanja boljih mjera rukovanja podacima, koje će prisiliti tvrtke da obrate pozornost na postupke s tuđim podacima.
I dalje bismo željeli napomenuti je smanjenje količine podataka najbolji način da se spriječe povrede, kako za tvrtke tako i ta pojedince. Savjetujemo vam da korisnike educirate o potencijalnim rizicima prekomjernog dijeljenja podataka čime podižete svijest o mogućim rizicima i smanjujete svoju izloženost negativnim posljedicama.
